היום, 30 בספטמבר, פג תוקפו של חיי תעודת השורש של IdenTrust והאם זו תעודה שימש לחתימת תעודת Let's Encrypt (ISRG Root X1), בשליטת הקהילה ולספק אישורים בחינם לכולם.
המשרד הבטיח את האמון של תעודות Let's Encrypt במגוון רחב של מכשירים, מערכות הפעלה ודפדפנים תוך שילוב של תעודת השורש של Let's Encrypt עצמו בחנויות תעודות שורש.
זה היה מתוכנן במקור שאחרי שעון השורש CA X3 אינו מעודכן, פרויקט בואו להצפין הוא יעבור ליצירת חתימות באמצעות האישור שלך בלבד, אך צעד כזה יוביל לאובדן תאימות עם הרבה מערכות ישנות שלא. בפרט, בסביבות 30% ממכשירי האנדרואיד הנמצאים בשימוש אין נתונים על תעודת השורש Let's Encrypt שתמיכתה הופיעה רק כמו פלטפורמת Android 7.1.1, שפורסמה בסוף 2016.
בואו להצפין לא תכנן להיכנס להסכם חתימה צולבת חדש, שכן הדבר מטיל אחריות נוספת על הצדדים להסכם, מונע מהם עצמאות וקושר את ידיהם בעמידה בכל הנהלים והכללים של רשות אחרת בהסמכה.
אך בשל בעיות אפשריות במספר רב של מכשירי אנדרואיד, התוכנית שונתה. הסכם חדש נחתם עם רשות האישורים של IdenTrust, שבמסגרתו נוצרה תעודה חלופית של Let's Encrypt בחתימה צולבת. החתימה הצולבת תהיה תקפה לשלוש שנים ותמשיך להיות תואמת למכשירי אנדרואיד מגרסה 2.3.6.
עם זאת, תעודת הביניים החדשה אינה מכסה מערכות רבות מדור קודם. לדוגמה, לאחר פקיעת תוקף תעודת ה- DST Root CA X3 (היום 30 בספטמבר), לא תתקבל עוד תעודות של Encrypt על קושחה ומערכות הפעלה שאינן נתמכות, כדי להבטיח אמון בתעודות Let's Encrypt, יהיה עליך להוסיף ידנית את שורש ISRG. אישור X1 לחנות תעודות הבסיס. הבעיות יתבטאו ב:
OpenSSL עד וכולל סניף 1.0.2 (תחזוקת סניף 1.0.2 הופסקה בדצמבר 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- חלונות
- macOS <10.12.1
- iOS <10 (iPhone <5)
- אנדרואיד <2.3.6
- מוזילה פיירפוקס <50
- אובונטו <16.04
- דביאן <8
במקרה של OpenSSL 1.0.2, הבעיה נגרמת משגיאה שמונעת טיפול נכון בתעודות חותם צולב אם אחת מתעודות הבסיס המעורבות בחתימה פוקעת, אם כי נשמרות שרשראות אמון תקפות אחרות.
הבעיה הופיע לראשונה בשנה שעברה לאחר פקיעת תעודת AddTrust משמש לחתימה צולבת על אישורים של רשות האישורים Sectigo (Comodo). לב הבעיה הוא ש- OpenSSL ניתח את התעודה כשרשרת לינארית, בעוד שעל פי RFC 4158, התעודה יכולה לייצג תרשים עוגה מבוזר מכוון עם עוגני אמון שונים שיש לקחת בחשבון.
למשתמשי הפצות ישנות יותר המבוססות על OpenSSL 1.0.2 מוצעים שלושה פתרונות לפתרון הבעיה:
- הסר ידנית את תעודת הבסיס של IdenTrust DST Root CA X3 והתקן את תעודת השורש העצמאית של ISRG Root X1 (ללא חתימה צולבת).
- ציין את האפשרות "–trusted_first" בעת הפעלת הפקודות openssl verify ו- s_client.
- השתמש בתעודה בשרת המאושרת על ידי תעודת שורש עצמאית של SRG Root X1 שאינה חתומה בצלב (בואו להצפין מציעה אפשרות לבקש תעודה כזו). שיטה זו תוביל לאובדן תאימות עם לקוחות אנדרואיד ישנים.
בנוסף, פרויקט Let's Encrypt עבר את אבן הדרך של שני מיליארד אישורים שנוצרו. אבן המיליארד של מיליארד הדרך הושגה בפברואר אשתקד. בכל יום נוצרים 2,2-2,4 מיליון אישורים חדשים. מספר התעודות הפעילות הוא 192 מיליון (התעודה תקפה לשלושה חודשים) ומכסה כ -260 מיליון דומיינים (לפני שנה היא כיסתה 195 מיליון דומיינים, לפני שנתיים - 150 מיליון, לפני שלוש שנים - 60 מיליון).
על פי נתונים סטטיסטיים של שירות הטלמטריה של פיירפוקס, הנתח העולמי של בקשות הדפים באמצעות HTTPS הוא 82%(לפני שנה - 81%, לפני שנתיים - 77%, לפני שלוש שנים - 69%, לפני ארבע שנים - 58%).
מקור: https://scotthelme.co.uk/